您现在的位置:首页 >关于我们 >本站通知 >关于操作系统漏洞安全预警通知

关于操作系统漏洞安全预警通知

【安全预警】关于方程式组织黑客工具包再曝光通知

关于方程式组织黑客工具包再曝光(包含多个Windows 0day利用工具)预警通知

尊敬的客户:

您好,20174月15日,国外黑客组织Shadow Brokers泄露出了一份机密文档,其中包含了多个Windows 0Day远程漏洞利用工具外部攻击者利用此工具可远程攻击并获取服务器控制权限,该漏洞影响极大。目前大量windows服务操作系统版本均在受影响之列,此次风险描述如下: 

受影响系统

Windows NT

Windows 2000

Windows XP

Windows 2003

Windows Vista

Windows 7

Windows 8

Windows 2008

Windows 2008 R2

Windows Server 2012 SP0


【风险等级】
高风险
【漏洞风险】
黑客可以通过发布的工具远程攻击服务器。
【影响服务】
主要影响SMB和RDP服务
【漏洞验证】确定服务器是否对外开启了137、139、445端口测试方法:服务器命令行窗口执行netstat -an查看是否有相应对口开放,同时亦可以通过访问http://tool.chinaz.com/port/(输入IP,下面填入137,139,445,3389)判断服务端口是否对外开启。注意:rdp是远程桌面服务,不局限于3389端口,如果您的windows远程桌面使用了其他端口,也在受影响之列。 

为保证您服务器安全,请您务必及时关注该漏洞并开展相应的安全整改措施,【漏洞修复建议】如下:


1、推荐方案:更新官方补丁

截至目前,方程式组织所使用的大部分漏洞均官方均已发布相关补丁,强烈建议您更新相关补丁。攻击工具所对应的补丁列表如下:

工具名称

解决措施

“EternalBlue”

Addressed by MS17-010

“EmeraldThread”

Addressed by MS10-061

“EternalChampion”

Addressed by CVE-2017-0146 & CVE-2017-0147

“ErraticGopher”

Addressed priorto the release of Windows Vista

“EsikmoRoll”

Addressed by MS14-068

“EternalRomance”

Addressed by MS17-010

“EducatedScholar”

Addressed by MS09-050

“EternalSynergy”

Addressed by MS17-010

“EclipsedWing”

Addressed by MS08-067

 

2、临时解决方案,

若您的服务器暂时不方便更新补丁,海腾数据推荐的临时解决方案如下:(两种方案):


1)为了保证系统的安全性,我们建议您关闭服务器的TCP协议下 137、139、445端口全部入网规则】、【UDP协议下137、445端口全部入网规则】,另外限制远程登录源IP地址,一般端口默认为:3389。 


2) 针对windows2008版本及以上的系统可以临时关闭相应服务操作步骤如下:


a:修复操作如下:禁止windows共享,卸载以下两个组件此操作的目的是禁止445端口

在网卡属性中,卸载 Microsoft网络客户端,卸载Microsoft网络的文件和打印机共享两个组件。
(实施完毕后,需要重启系统生效,操作前请您根据对业务的影响情况进行评估)

b:禁止netbios此操作的目的是禁止137,139端口
重启后我们看到137,139,445端口全部关闭。

c:关闭远程智能卡此操作的目的是关闭windows智能卡功能,避免rdp服务被攻击利用

 

以上操作可以联系我们运维工程师协助操作。海腾数据全体员工感谢您长期以来对我们的关注和支持,我们将一如既往的为您提供稳定、优质的网络服务。

 

河南海腾电子技术有限公司

2017年4月28日

Copyright© 2004-2020 河南海腾电子技术有限公司 版权所有   经营性ICP/ISP证 备案号:B1-20180452   豫公网安备 41019702002018号    电子营业执照